el marco de seguridad informática bajo una estrategia digital · el complejo encanto de la...
TRANSCRIPT
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
El Marco de Seguridad Informática bajo una Estrategia Digital
Fernando Conesa Francisco Cornejo
Socio EY Advisory, Financial Services
Gerente EY Advisory, Financial Services
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
2 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
“Las especies que sobreviven no son
las más fuertes, ni las más rápidas, ni
las más inteligentes; sino aquellas que
se adaptan mejor al cambio” Charles Darwin (1809 - 1882)
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
3 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
El cambio constante de las nuevas tecnologías y la revolución digital actual nos plantea la necesidad de actualizar permanentemente nuestros enfoques y procedimientos de Auditoría Interna.
Auditoría interna enfrenta un desafío muy importante,
y para adaptarse correctamente al mundo
rápidamente cambiante de hoy deberá convertirse en
un “asesor de confianza” de una organización
preparada para el crecimiento.
Hoy en día, el cambio está llegando a gran velocidad y
va a seguir avanzando. Esta velocidad está cambiando
todo el entorno de negocios, sus riesgos asociados, y
por ende la función de Auditoría Interna.
Actualmente la mayoría de las organizaciones del
mundo no están trabajando para adelantarse a la
curva exponencial de innovaciones; sino que están
luchando para mantenerse al día.
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
4 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
La no adecuación o la adecuación ineficiente respecto de estos cambios, genera un impacto en las organizaciones de hoy en día.
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
5 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
Estos cambios, traen aparejado nuevos riesgos relacionados al ámbito de Seguridad de la Información.
Nuevas
infraestructuras
Multiplicidad de
puntos de
compromiso
Fuga de información Facilidad de
acceso a los
datos
Bajo nivel de
seguridad en
proveedores
Fraude
Informático
Auditoría Interna
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
6 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
7 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
8 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
Servicios de Internet que permiten a los usuarios formar redes y compartir información, puntos de vista, opiniones, fotos, etc. entre ellos y el público en general, lo cual presenta desafíos y oportunidades únicas a las empresas. Las oportunidades que generan las Redes Sociales, también traen aparejados riesgos significativos.
• Filtración de información confidencial de la empresa de forma inadvertida
por medio de empleados
• Ataques relacionados a la reputación de la compañía
• Acceso multiplataforma a nuevos Virus, malware, Cross-site scripting y
phishing
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
9 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
Preguntas clave
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
10 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
Para poder gestionar los Riesgos relacionados, la función de Auditoría Interna debe considerar: ¿Cómo enfrentarlos?, ¿Cómo controlarlos?
Asegurarse que la organización entienda el riesgo que traen
aparejadas las redes sociales.
Evaluar el diseño de las políticas y procedimientos para
gestionar las redes sociales dentro de la organización.
Evaluar el programa de concientización y capacitación en
redes sociales.
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
11 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
12 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
Los Dispositivos Móviles están cada vez más posicionados dentro de las empresas, ya sea la solución Bring Your Own Device (BYOD) o dispositivos corporativos; se otorgan a los empleados acceso a las herramientas y servicios para poder realizar su labor diaria. Sin embargo, una gran parte de las actividades de BYOD sigue presentando nuevos desafíos:
• Gestión de la seguridad dada la diversidad de dispositivos, sistemas
operativos y vulnerabilidades de cada uno
• Potencial pérdida o fuga de información
• Robo del dispositivo debido a su tamaño
• La delgada línea entre la privacidad y el monitoreo debido al uso
personal y corporativo del dispositivo
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
13 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
Preguntas clave
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
14 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
Para poder gestionar los Riesgos relacionados, la función de Auditoría Interna debe considerar: ¿Cómo enfrentarlos?, ¿Cómo controlarlos?
Identificar los riesgos en la configuración del dispositivo móvil y la identificación de la vulnerabilidad
a través de la accesibilidad a la red interna y la configuración de las políticas de los mismos.
Evaluar la arquitectura de red, la implementación de políticas, la gestión de
dispositivos perdidos o robados.
Realizar una revisión de aplicaciones móviles utilizando diferentes estrategias de prueba, explorar
en busca de vulnerabilidades utilizando diversas herramientas y verificar manualmente los
resultados del análisis.
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
15 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
16 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
Los servicios en la nube permiten a las organizaciones de TI despojarse de sus complejas estructuras internas, lo que les permite centrarse en la estrategia en lugar de las operaciones y responder rápidamente a las cambiantes condiciones del mercado. La “nube” está evolucionando rápidamente y presenta riesgos y desafíos que a menudo se pasan por alto o no se entienden completamente.
• Riesgos de Infraestructura y arquitectura
• Riesgos de interoperabilidad
• Riesgos regulatorios y de cumplimiento
• Riesgos de continuidad de negocio
• Gestión de los proveedores de la nube
• Alineación y governance de la estrategia
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
17 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
Preguntas clave
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
18 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
Para poder gestionar los Riesgos relacionados, la función de Auditoría Interna debe considerar: ¿Cómo enfrentarlos?, ¿Cómo controlarlos?
Determinar si las políticas y controles que se han desarrollado para apoyar la
implementación de la estrategia son apropiados.
Evaluar las prácticas y procedimientos de seguridad de la información del proveedor
de la nube.
Evaluar la capacidad del proveedor de la nube para satisfacer o exceder el SLA acordado en el
contrato.
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
19 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
20 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
La manera en que las empresas utilizan y dependen de sus sistemas de información está cambiando a un ritmo que nunca hemos visto antes, con un mayor uso de la tecnología móvil, la nube y las redes sociales. Las empresas buscan encontrar el equilibrio entre las tecnologías y un mejor acceso a los datos, con la necesidad de proteger esos datos de individuos maliciosos:
• Atacantes internos
• Atacantes oportunistas
• Atacantes avanzados capaces de eludir controles robustos
implementados en grandes organizaciones
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
21 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
de los encuestados describen que no serían capaces de detectar un ataque sofisticado.
36%
de los encuestados no puede estimar el daño financiero relacionado a cyber incidentes en los últimos 12 meses.
20%
1,755 Participantes
Países
67
25 Industrias
*Fuente: Encuesta Global de Seguridad de la Información EY 2015
de las organizaciones indica que tiene una respuesta a incidentes robusta, que incluye a terceras partes y agentes de seguridad integrados con su función de gestión de amenazas y vulnerabilidades.
7%
de los encuestados dijo que la función de seguridad informática no satisface completamente las necesidades de su organización.
88%
de los encuestados han tenido incidentes de seguridad significativos que no son descubiertos por su SOC.
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
22 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
67% 51% 48%
Gestión de respuesta ante
incidentes
Gestión de identidades y
accesos
Prevención de perdida o
filtración de datos
Prioridades de la seguridad de la información
Principales amenazas identificadas
47% Ciber-ataques para robar información financiera
46% Phishing
45% Malware
*Fuente: Encuesta Global de Seguridad de la Información EY 2015
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
23 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
Preguntas clave
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
24 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
Para poder gestionar los Riesgos relacionados, la función de Auditoría Interna debe considerar: ¿Cómo enfrentarlos?, ¿Cómo controlarlos?
Evaluar el programa de seguridad de la información de la organización utilizando un
marco alineado con los estándares, regulaciones y prácticas líderes.
Adoptar la mentalidad, herramientas y técnicas de un atacante, realizar pruebas para
determinar si los activos clave del negocio están en riesgo.
Revisar los procesos de administración de acceso a los sistemas y la forma en que el acceso está
controlado.
Evaluar la forma en la que empresa ha identificado, definido y clasificado sus datos, incluidos los
mecanismos de protección de datos.
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
25 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
26 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
“Internet de las cosas” se puede definir como una red física de objetos que contienen embebidas tecnologías para comunicarse, sentir o interactuar consigo mismas o el entorno exterior que generan grandes resultados y conveniencia en la experiencia del usuario final. Esto abre un nuevo campo con nuevos desafíos:
• Vanguardia del rápido cambio del negocio y sus riesgos asociados
• Identificar la mayor parte de puntos de acceso
• Correcta administración de seguridad en todos los dispositivos involucrados
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
27 1 y 2 de septiembre de 2016 | Buenos Aires | Argentina
La velocidad de los cambios tecnológicos generan una constante modificación de los riesgos del negocio. Esta situación debe ser afrontada por los gestores del negocio pero también tiene un impacto directo en el trabajo de AI.
Nuevas
infraestructuras
Multiplicidad de
puntos de
compromiso
Fuga de información Facilidad de
acceso a los
datos
Bajo nivel de
Seguridad en
proveedores
Fraude
Informático
Auditoría Interna
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
¡Muchas Gracias por su atención!
1 y 2 de septiembre de 2016 | Buenos Aires | Argentina 28
El complejo encanto de la Auditoria Interna VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS
Preguntas y Respuestas
1 y 2 de septiembre de 2016 | Buenos Aires | Argentina 29
Fernando Conesa Francisco Cornejo